Cookies og GDPR
Denne siden benytter cookies for å kunne gi deg den beste opplevelsen av hjemmesiden. Ved å bruke siden godtar du vår personvernavtale.
Se vår personvernavtale her
DATABEHANDLERAVTALE
Mellom Promotion Systems AS (Databehandler og leverandør av Borettslag.NET) og Boligselskapet (Kunden)
Alle boligselskaper som håndterer persondata er forpliktet til denne avtalen
Bakgrunn og hensikt
Avtalen regulerer Promotion Systems AS (Databehandler) sin behandling av personopplysninger på vegne av Kunden (Behandlingsansvarlig), herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, og rettigheter og plikter etter Personopplysningsloven (Lov av 14. april 2000 nr. 31 om behandling av personopplysninger og forskrift av 15. desember 2000 nr. 1265, Personopplysningsforskriften) og Personvernforordningen (Forordning 2016/679 - GDPR) som trer i kraft 25. mai 2018.
Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende.
Denne avtalen omfatter alle personopplysninger som blir behandlet ved bruk av Promotion Systems AS sine tjenester, inkludert underleverandører.
Formål
Formålet med behandlingen er å levere tjenesten i tråd med eksisterende avtale, og utføre kundeservice på forespørsel fra Kunden. Promotion Systems AS kan ikke behandle personopplysninger til andre formål enn dette.
Behandling av personopplysninger skal skje i tråd med gjeldende lover og forskrifter, samt denne avtalen.
Eierskap og behandlingsansvar
Kunden er behandlingsansvarlig for data som lagres, og behandles, ved bruk av Promotion Systems AS sine tjenester, og har selv eierskap til, og ansvaret for disse. Promotion Systems AS kan ikke under noen omstendigheter tilordnes rollen som behandlingsansvarlig for disse dataene.
Det er Kunden som bestemmer formålet med sin behandling av personopplysninger og hvilke hjelpemidler som skal brukes, og som har ansvaret for at personopplysninger behandles i henhold til de krav som lover, regler og forskrifter oppstiller.
Promotion Systems AS sine plikter
Promotion Systems AS skal kun behandle personopplysninger etter Kundens skriftlige instruksjoner.
Promotion Systems AS plikter å gi Kunden tilgang til dokumentasjon, og bistå, slik at Kunden kan ivareta sitt eget ansvar etter lov og forskrift. Kunden har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til formålet. Promotion Systems AS plikter å gi nødvendig bistand til dette.
Promotion Systems AS plikter å bistå den Behandlingsansvarlige med å etterleve kravene til å etablere et egnet sikkerhetsnivå, herunder gjennomføre nødvendige tiltak som å varsle om sikkerhetsbrudd, vurdere personvernkonsekvenser og gjennomføre drøtinger på Kundens forespørsel.
Promotion Systems AS plikter å utnevne et Personvernombud, eller annet kontaktpunkt, hvis ansvar er å fungere som kontaktpunkt for Kunden, kontrollere og koordinere samsvar med denne avtalen i sin helhet, og påse at alle involverte ansatte og 3. parter er bevisst sitt ansvar for å beskytte personopplysninger i samsvar med lov, og denne avtalen.
Detaljer for kontaktpunktet skal til enhver tid være tilgjengelig på:
https://www.borettslag.net/personvern
Promotion Systems AS forbeholder seg retten til å nekte behandling av personopplysninger som bryter med loven, og plikter å varsle Kunden om dette.
Taushetsplikt
Promotion Systems AS har taushetsplikt om dokumentasjon og personopplysninger og andre data som behandles ved hjelp av Promotion Systems AS sine tjenester. Denne bestemmelsen gjelder også etter avtalens opphør.
Bruk av Underleverandører
Underleverandører er enhver tredjepart som behandler data på oppdrag fra Promotion Systems AS. Promotion Systems AS plikter å vedlikeholde en liste over navn og lokasjon for alle Underleverandører som er involvert ved behandling av personopplysninger på:
https://www.borettslag.net/personvern. Det er kun tredjeparter på denne listen som er Underleverandører.
Kunden aksepterer at Promotion Systems AS kan benytte Underleverandører både ved levering av tjenesten og behandling av personopplysninger, forutsatt at de behandler personopplysninger i tråd med denne avtalen.
Promotion Systems AS er ansvarlig overfor Kunden for enhver form for behandling Underleverandører utfører.
Promotion Systems AS plikter å oppdatere listen med Underleverandører senest 30 dager før en underleverandør begynner behandling av personopplysninger.
I de tilfeller Kunden motsetter seg bruk av en ny underleverandør skal Promotion Systems AS underrettes omgående og uten opphold. Promotion Systems AS vil enten
(1) avvikle bruk av underleverandøren,
(2) la være å benytte underleverandøren for Kunden sine personopplysninger, eller
(3) avslutte avtaleforholdet.
Ved (1) og (2) fortsetter avtalen å løpe uten endringer. Ved (3) har kunden rett på å meddele opphør umiddelbart, allerede innbetalte beløp for inneværende avtaleperiode(r) vil ikke bli refundert.
Tjenestene Promotion Systems AS leverer tillater integrasjon mot tredjeparts tjenester, og kan inneholde integrasjoner og linker til integrasjoner med tredjeparts tjenester, og som ikke er underleverandører. All bruk av tredjeparts tjenester, som ikke tilhører Underleverandører, inkludert, men ikke begrenset til lagring, databehandling og datautveksling, er alene regulert av avtalebetingelsene og personvernbetingelsene til tredjepart. Promotion Systems AS kan ikke under noen omstendigheter holdes ansvarlig ved bruk av slike tjenester, og Kunden skal holde Promotion Systems AS skadesløs i ethvert forhold som måtte oppstå som følge av bruken.
Internasjonal dataeksport
Kunden aksepterer at Promotion Systems AS og Underleverandører kan behandle personopplysninger utenfor Norge, EU og Sveits. Dette gjelder også hvor Kunden har avtalt at datalagring skal finne sted i Norge, EU, eller Sveits, men bare dersom behandling utenfor EU er nødvendig for å utføre Kundeservice eller andre tjenester på forespørsel fra Kunden. Behandling av personopplysninger utenfor Norge, EU eller Sveits, skal skje i tråd med gjeldende lover og forskrifter, og evt. annet som er skriftlig avtalt nødvendig for å levere tjenesten, samt utføre kundeservice på forespørsel fra Kunden.
Kunden sine plikter
Det er Kunden sitt ansvar å vedlikeholde en oversikt over hvilke personopplysninger Promotion Systems AS behandler på vegne av Kunden. Det er Kunden sitt ansvar å avgi skriftlige instruksjoner om hvordan personopplysninger skal behandles. Nødvendige tilganger skal kun oppgis på forespørsel. Det er Kunden sitt ansvar å forvalte tilgangene som oppgis, og tilgangene skal straks fjernes når behovet ikke lenger er tilstede.
Kunden er inneforstått med at tjenestene til Promotion Systems AS i utgangspunktet ikke inkluderer sikkerhetstiltak som er nødvendig for behandling av personopplysninger om barn, og sensitive og konfidensielle personopplysninger, som for eksempel kryptering eller fysisk separasjon, med mindre dette fremgår eksplisitt av produktbeskrivelse og/eller kontrakt. Det er Kunden sitt ansvar å implementere hensiktsmessige sikkerhetstiltak for personopplysninger som behandles ved hjelp av Promotion Systems AS sine tjenester.
Kunden garanterer at all behandling av personopplysninger som skjer i forbindelse med denne avtalen er, og fortsetter å være, i tråd med alle relevante personvernbestemmelser, til enhver tid gjeldende lov- og forskriftsregulering, i henhold til eventuelle vedtak fattet av offentlige myndigheter i Norge og EU, og i tråd med denne avtalen.
Kunden plikter å informere sine brukere om bruken av databehandlere, inkludert Promotion Systems AS, og at personopplysninger kan bli behandlet utenfor Norge, EU, eller Sveits.
Kunden skal sende inn forespørsler som medfører behandling av personopplysninger i god tid før behandlingen skal skje, og plikter å besvare henvendelser fra Promotion Systems AS uten unødig opphold. Behandling av personopplysninger kan kun skje etter særskilt avtale.
Retur og destruksjon av personopplysninger
Kunden må selv eksportere data og personopplysninger ved opphør, og før siste avtaleperiode løper ut. Eksporten skal skje ved hjelp av grensesnittene som er tilgjengelig. Promotion Systems AS plikter å bistå Kunden med denne eksporten på forespørsel innenfor rimelig tid.
Eksport av data skal skje for Kunden sin regning, og faktureres etter medgått tid og til gjeldende timepriser.
Kunden aksepterer at Promotion Systems AS sletter alle data ved opphør, inkludert eventuelle sikkerhetskopier, etter at siste avtaleperiode har løpt ut, og at data vil bli slettet etter de retningslinjer og prosedyrer som Promotion Systems AS til enhver tid fastsetter.
Promotion Systems AS vil ikke innestå for tap av data som skyldes at eksport av data ikke er gjennomført før utløpsdato for tjenesten(e).
Sikkerhet
Promotion Systems AS plikter å implementere og vedlikeholde nødvendige tekniske og organisatoriske tiltak som stilles etter til enhver tid gjeldende lover, regler og forskrifter, for å beskytte mot tap av personopplysninger som skyldes utilsiktet eller ulovlig destruksjon, utilsiktet tap eller endring, urettmessig formidling eller tilgang (avvik), så langt det er praktisk gjennomførbart og i Promotion Systems AS sin kontroll.
Promotion Systems AS plikter å bistå kunden i å gjennomføre jevnlige sikkerhetsrevisjoner. Kunden plikter å varsle Promotion Systems AS om sikkerhetsrevisjoner og systemtester. Tester og revisjoner kan medføre nedetid, og faktureres etter medgått tid og gjeldende timepris.
Fysisk adgangskontroll
Promotion Systems AS skal implementere nødvendige tiltak for å forhindre fysisk tilgang til personopplysninger.
Adgang til systemer
Promotion Systems AS skal implementere hensiktsmessige tiltak for å forhindre at personopplysninger behandles urettmessig. Disse tiltakene vil variere med behandlingen og kan inkludere, men er ikke begrenset til, autentisering med brukernavn og passord, tofaktor autentisering og logging på flere nivåer.
Sikkerhetskopi
Sikkerhetskopi foretas i tråd med eksisterende avtale. For tjenester som ikke inkluderer sikkerhetskopi står Kunden selv ansvarlig for å besørge dette.
Avvik
Enhver bruk av informasjonssystemer i strid med denne avtalen, Kundens instrukser, Personvernlovgivningen eller GDPR, skal håndteres som et avvik. Promotion Systems AS skal varsle Kunden ved avvik så snart Promotion Systems AS får kunnskap om det, og om nødvendig samarbeide med Kunden om å avhjelpe avviket. Kunden har ansvaret for at avviksmelding sendes Datatilsynet.
Varselet til Kunden skal som minimum inneholde en beskrivelse av avvikets natur, kontaktinformasjon til kontaktpunkt hos Promotion Systems AS, en beskrivelse av mulige konsekvenser, og en beskrivelse av tiltak som er iverksatt, eller planlagt iverksatt, for å lukke avviket og begrense konsekvensene.